Logische statt physische Interfaces

Wesentliche Voraussetzung für den sicheren Betrieb von unterschiedlichen IP-Netzen in einem Gerät ist die Möglichkeit, den Datenverkehr der einzelnen Netze voneinander abzuschirmen. Die Netzwerke sind über die physischen Schnittstellen mit dem Router verbunden. Diese Interfaces werden aber nicht direkt für das Routing verwendet. Um eine möglichst hohe Flexibilität zu erreichen, werden die physischen Schnittstellen an logische Interfaces gebunden.

Bei kabelgebundenen LAN-Anschlüssen findet die Zuordnung durch ein Ethernet-Port-Mapping statt: Für jeden Ethernet-Port kann gezielt die gewünschte Verwendung als logisches LAN-Interface konfiguriert werden. Für WLAN-Schnittstellen entstehen durch den Aufbau von Point-to-Point-Strecken (PtP) beziehungsweise durch die Verwendung von Multi-SSID auf jedem physischen WLAN-Modul mehrere WLAN-Interfaces.

Die Entscheidung über die Datenübertragung zwischen den einzelnen IP-Netzen ist also in den Router verlagert, in dem die Datenströme aus allen IP-Netzen zusammenlaufen. Grundsätzlich wird dabei das Routing zwischen den verschiedenen lokalen IP-Netzen erlaubt - ebenso ist aber auch das komplette Abschalten des Routings zwischen den IP-Netzen möglich. Über die Firewall kann nun gezielt eingestellt werden, welches IP-Netz über den Router auf welche Bereiche zugreifen darf. Bei einer größeren Anzahl von Netzen können dazu aber viele Firewall-Regeln erforderlich sein.